可能重复:
bind9在chroot监狱 – 必要或不?
我正在重做我的外部DNS服务器,这次考虑跳过chroot。 并使用apparmor或selinux作为替代。 有什么想法吗?
我正在使用团队cymrus绑定模板作为..模板:)但是当更多的pipe理服务器,默认包首选imho。
我绝对不是安全专家,所以我说的是恕我直言。
以root身份运行BIND而不使用apparmor / chroot / selinux并不是一个罪过。 (BIND9 从未 知道允许代码执行的漏洞 。)
无特权运行更好。
在apparmor下运行甚至更好。
同时运行 – 在apparmor和unrivileged更好。
(此外,apparmor vs chroot – apparmor可能是首选。)